Reeport Linkedin Politique des cookies | Reeport

Conditions générales d'utilisation des données - Reeport

Protection des données à caractère personnel

1 Le CLIENT est seul responsable du traitement des données

1.1 Le CLIENT garantit qu’il est le seul propriétaire des données, notamment des données personnelles, qui sont traitées par le service, y compris les données transmises au logiciel par les prestataires de services souscrits par le CLIENT. Afin de préserver la confidentialité des données, le CLIENT s’engage à ne transmettre à UPTILAB que des données pseudonymisées (Art. 4.5. du Règlement UE 2016/679) au moyen d’un identifiant unique que le CLIENT attribue à chacun de ses clients/prospects, de sorte qu’UPTILAB ne puisse pas identifier directement la personne physique à laquelle l’identifiant unique a été attribué. En aucun cas UPTILAB ne dispose des moyens techniques lui permettant d’établir un lien de quelque nature que ce soit entre l’identifiant unique attribué par le CLIENT et les données permettant d’identifier directement chaque personne physique en question.

1.2 Il est précisé que UPTILAB n’effectue aucune collecte de données pour le compte du CLIENT. Sur la Plateforme, UPTILAB ne traite que des données pseudonymisées, soit transmises directement par le CLIENT, soit transmises indirectement par les représentants des prestataires de services choisis par le CLIENT. Il appartient uniquement au CLIENT (i) de choisir les fournisseurs de données auxquels il souhaite s’abonner, et (ii) de se concerter avec ces derniers pour déterminer la nature et le volume des données à traiter par le service. UPTILAB n’est pas responsable d’une interruption de la fourniture des données par les fournisseurs de services auxquels le CLIENT s’est abonné.

1.3 Le CLIENT s’engage à rappeler sans équivoque aux personnes don’t les données sont traitées, même après pseudonymisation et éventuellement cryptage, que tous les droits des personnes en question (droit d’accès, de rectification, etc.) doivent être exercés par ces personnes directement auprès du CLIENT, UPTILAB s’engageant à respecter toute instruction écrite raisonnable et légitime du CLIENT à cet égard.

2 Garanties du CLIENT concernant les données personnelles

2.1 Conformément à la législation européenne et française relative à la protection des données personnelles et notamment au Règlement 2016/679 du 27 avril 2016 (ensemble le « Règlement général sur la protection des données » ou « RGD »), le CLIENT garantit UPTILAB préalablement à l’utilisation du Logiciel ou du service et pendant toute la durée du Contrat :

(i) qu’elle a recueilli et traité les données personnelles de manière licite, loyale et transparente pour des finalités spécifiques, explicites et légitimes don’t UPTILAB n’a nullement connaissance, et don’t le CLIENT déclare avoir dûment informé les personnes concernées. En conséquence, toute obligation de déclaration préalable concernant le traitement de ses données personnelles auprès d’une autorité de contrôle relève de sa seule responsabilité, et le CLIENT garantit à UPTILAB qu’il l’a fait ;

(ii) qu’il est seul responsable du traitement des données à caractère personnel qu’il a collectées, directement ou indirectement, ou traitées lors de son utilisation du service, notamment lorsque ces données sont transmises directement ou indirectement à la Plateforme par des prestataires de services souscrits à cet effet, à titre gratuit ou onéreux;

(iii) qu’il détermine seul les finalités et les moyens du traitement de ses données à caractère personnel, notamment dans le cadre de l’utilisation du service. En conséquence, il appartient au CLIENT, préalablement à l’utilisation du service, de vérifier que la demande de traitement des données personnelles adressée à UPTILAB est conforme à la finalité et aux moyens de traitement des données personnelles mis en œuvre par le CLIENT.

2.2 Les garanties données par le CLIENT à UPTILAB en vertu de la présente clause sont des conditions substantielles ou essentielles don’t le CLIENT est responsable de sorte que la responsabilité d’UPTILAB ne peut être engagée à cet égard, à quelque titre que ce soit. Dans le cas contraire, le CLIENT s’engage à décharger UPTILAB et à garantir, sans restriction ni réserve, contre toutes les conséquences, notamment pécuniaires, mises à la charge de UPTILAB.

3 UPTILAB est un sous-traitant pour le traitement des données personnelles du CLIENT

3.1 UPTILAB intervient en qualité de sous-traitant dans le traitement des données personnelles du CLIENT au sens de l’article 28 de la RGPD et de l’article 35 de la loi n° 78-17 du 6 janvier 1978. En conséquence, UPTILAB s’engage (i) à ne pas traiter les données personnelles du CLIENT autrement qu’aux termes du Contrat et (ii) à ne procéder à aucun autre traitement des données personnelles du CLIENT non prévu par le Contrat, sauf (i) sur instruction écrite et légitime du CLIENT et (ii) dans les limites suivantes.

3.2 UPTILAB rappelle au CLIENT que, conformément à l’art. 28.3. h) par. 2 PIBR, toute nouvelle demande de traitement des données personnelles du CLIENT par UPTILAB, même sur instruction expresse du CLIENT, qui pourrait entraîner le non-respect du PIBR, oblige UPTILAB à en informer immédiatement le CLIENT. UPTILAB se réserve le droit de refuser les instructions du CLIENT qui pourraient paraître illicites au sens des articles 82.2 et 82.3 du RGPD. Dans ce cas, un refus écrit et documenté d’UPTILAB ne permet pas au CLIENT de résilier le Contrat, sauf si le CLIENT accepte sa responsabilité vis-à-vis d’UPTILAB pour la résiliation anticipée et non fondée du Contrat.

3.3 Les obligations d’UPTILAB, en particulier les services de la plate-forme, peuvent être exécutées par une autre entreprise sous-traitante. UPTILAB reste seule responsable vis-à-vis du CLIENT de la fourniture des services confiés à un sous-traitant et garantit, au sens de l’article 1204 [nouveau]) Code civil, le strict respect par la Plateforme des dispositions du Contrat. Si le tiers sous-traitant ne fournit pas les services qui lui ont été contractuellement confiés par UPTILAB, UPTILAB peut être condamné à verser des dommages et intérêts (art. 1204 [nouveau] Code civil) au CLIENT.

3.4 Conformément à la loi n° 75-1334 du 31 décembre 1975, par la signature du Contrat, le CLIENT approuve expressément la Plateforme identifiée dans le Bon de Commande en tant que sous-traitant pour les services d’hébergement inclus dans le service. Les modalités de paiement convenues entre la Plateforme et UPTILAB sont détaillées dans le Bon de Commande. En raison du grand nombre de clients utilisant son service via la Plateforme, il n’est pas possible pour UPTILAB de soumettre un changement de Plateforme au CLIENT pour approbation préalable. Le CLIENT reconnaît et accepte qu’UPTILAB puisse librement et à tout moment modifier la Plateforme, à condition d’en informer le CLIENT et que (i) la nouvelle Plateforme offre au moins les mêmes performances que la Plateforme identifiée dans le Bon de Commande, (ii) le passage à la nouvelle Plateforme soit effectué par UPTILAB sans interruption du service fourni au CLIENT, (iii) la Plateforme respecte tous les engagements d’UPTILAB en termes de RGPD et (iv) UPTILAB ne modifie pas le montant de l’Abonnement.

3.5 Conformément à l’Art. 30.1 PIBR et au plus tard le 25 mai 2018, UPTILAB s’engage à tenir à jour une liste des traitements de données personnelles du CLIENT incluant :

a) le nom et les coordonnées du responsable du traitement des données et, le cas échéant, du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront envoyées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel à un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale;

f) dans la mesure du possible, les délais de suppression des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles concernant le service conformément aux dispositions énoncées dans la clause 4. Sécurité et confidentialité des données à caractère personnel.

4 Sécurité et confidentialité des données à caractère personnel

4.1 UPTILAB s’engage à traiter techniquement les données du CLIENT dans le seul but de rendre le service, à l’exclusion de toute autre utilisation au profit d’UPTILAB ou de tiers. Conformément au RGPD, les données personnelles du CLIENT sont traitées par UPTILAB sur des serveurs situés exclusivement sur le territoire de l’Union Européenne et ne font l’objet d’aucun transfert hors de l’Union Européenne, sauf décision d’adéquation de l’Union Européenne (Argentine, Canada, Israël, Nouvelle-Zélande, Suisse, Uruguay et « Privacy Shield »).

4.2 UPTILAB s’engage à assurer la sécurité et la protection de la confidentialité des données personnelles du CLIENT, en particulier pour éviter qu’elles ne soient déformées, endommagées ou distribuées à un tiers non autorisé. Les détails des mesures techniques internes visant à assurer la sécurité et la confidentialité des données du CLIENT figurent dans la clause « Protection des données personnelles ». UPTILAB s’engage à respecter et à faire en sorte que tous les prestataires techniques responsables de la mise en œuvre du service, en particulier la Plateforme, respectent les niveaux les plus stricts de confidentialité et de sécurité dans le traitement des données personnelles du CLIENT, conformément aux normes de l’industrie et dans le strict respect de la RGPD.

5 Notification des violations de la sécurité

5.1 En vertu de l’art. 33.1 et 33.2 RGPD et au plus tard le 25 mai 2018, UPTILAB s’engage à informer le CLIENT par écrit et sans délai de toute atteinte à la sécurité des données personnelles transmises ou traitées par le service lorsque cette atteinte implique l’accès non autorisé, la divulgation, l’altération, la perte ou la destruction de ces données, de manière accidentelle ou illicite. Il appartient alors au seul CLIENT d’informer (i) l’autorité de contrôle don’t il dépend et (ii) les personnes concernées lorsque cette violation de la sécurité des données à caractère personnel « est susceptible de générer un risque élevé pour les droits et libertés »

5.2 Si le CLIENT est classé comme fournisseur « au public, de services de communications électroniques sur des réseaux de communications électroniques ouverts au public » au sens de l’article 34 bis de la loi 78-17 du 6 janvier 1978, UPTILAB s’engage à informer immédiatement le CLIENT de toute « atteinte à la sécurité ayant pour conséquence la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé, accidentel ou illicite » aux données personnelles du CLIENT ; il appartient au CLIENT d’en informer la CNIL et, le cas échéant, les personnes concernées. En cas de violation de la sécurité, UPTILAB s’engage (i) à mettre en œuvre rapidement toutes les mesures techniques correctives appropriées concernant le Logiciel et/ou le service pour mettre fin à la violation de la sécurité identifiée, en particulier pour rendre les données incompréhensibles à toute personne non autorisée à y avoir accès, et à les appliquer aux données concernées par cette violation de la sécurité et (ii) à l’expliquer au CLIENT par écrit dans les meilleurs délais.

6 Cryptage des données du CLIENT

En application de la loi n° 2015-912 « Renseignement » du 24 juillet 2015 et dans le cas où UPTILAB aurait procédé au cryptage de tout ou partie des données du CLIENT en application du Contrat, UPTILAB rappelle au CLIENT que sous peine de sanctions pénales, les prestataires fournissant des services de cryptologie pour assurer la confidentialité sont tenus de fournir, dans un délai de 72 heures, aux agents des services de renseignement spécialisés, à leur demande, le mécanisme de décryptage des données traitées au moyen des services qu’ils fournissent. Les agents des services de renseignement spécialisés peuvent demander aux fournisseurs de services de cryptologie de mettre eux-mêmes en œuvre ces mécanismes dans un délai de 72 heures, à moins que le fournisseur de services de cryptologie ne démontre qu’il n’est pas en mesure de satisfaire ces demandes.